Nie ignoruj tego maila od OLX. Ktoś faktycznie próbował włamać się na twoje konto
Jeżeli jesteś użytkownikiem popularnej w Polsce platformy OLX, to prawdopodobnie przed chwilą otrzymałeś maila, że hasło na twoje konto zostało zresetowane. Tak, to mail od administracji serwisu.
OLX, niezwykle popularna w naszym kraju usługa ogłoszeniowa, padła ofiarą ataku ze strony cyberprzestępców. Zostaliśmy przy tym mailowo przez rzecznika firmy zapewnieni, że wspomniany atak i potencjalne naruszenie danych użytkowników nie są wynikiem niewłaściwego zabezpieczenia samej usługi. Włamywacze rzekomo posłużyli się niedawno wyciekniętymi globalnie danymi w ramach incydentu nazywanego Collection 1.
Każdy użytkownik OLX, na konto którego próbowano się włamać, otrzymał dziś serwisowego maila z informacją, że hasło do jego konta zostało zresetowane i że użytkownik musi nadać nowe. Wszyscy poszkodowani zostali też automatycznie wylogowani na wszystkich swoich urządzeniach.
Włamanie na OLX. Na co trzeba uważać?
Informowanie klientów o włamaniu na ich konta to nie tylko etycznie właściwa decyzja, w przeciwieństwie do jej zatajania. To również obowiązek nałożony przez przepisy RODO. Niestety ten komunikat prawdopodobnie wywoła rykoszetem dodatkową serię nieporozumień, jaką stanowić będą fałszywe maile o włamaniu.
Należy zachować szczególną ostrożność przy klikaniu łączy do resetowania hasła zawartych w mailu od (rzekomo) OLX. Cyberprzestępcy na pewno już szykują kampanię fałszywych maili, które informują o włamaniu i proszą o podanie nowego hasła w formularzu wizualnie nieodróżnialnym od tego zapewnianego przez OLX. Zwracajmy więc szczególną uwagę na adres formularza, główna domena nie może być inna niż www.olx.pl/konto/nowehaslo/. Jeżeli skierowani będziemy na adres typu olx-resetowanie-hasla.com czy podobny, to właśnie trafiliśmy ofiarą kolejnego oszustwa i nie wprowadzajmy tam naszych danych osobowych.
Korzystajmy z trudnych do odgadnięcia haseł.
W teorii powinienem was namawiać, by do każdej internetowej usługi generować zupełnie odmienne od pozostałych, trudne do odgadnięcia hasło, zawierające znaki specjalne i cyfry. I zmieniać wszystkie co kilka tygodni na zupełnie nowe. Wątpię jednak, by ktoś miał taką pamięć, by mógł to wszystko opanować.
Namawiam jednak do zachowania szczególnej ostrożności przy najważniejszych kontach, takich jak dostęp do banku czy do Konta Google, Apple ID czy Konta Microsoft. Warto opracować sobie łatwy do zapamiętania system haseł – ja na przykład stosuję nazwy własne dzieł z pewnego nurtu popkulturowego, łącząc je z datami ich wydania i stosując unikalne separatory w postaci znaków specjalnych. W efekcie wszędzie mam trudne i unikalne hasła, a zarazem jestem w stanie szybko się domyślić każdego z nich, jeżeli nie pamiętam które konkretnie w danej usłudze wykorzystałem. Nie jest to idealna metoda, co wyjaśni każdy ekspert ds. cyberbezpieczeństwa, ale wydaje mi się ona rozsądnym kompromisem.
Włączmy też usługę dwuetapowego uwierzytelniania użytkownika (2FA) gdzie tylko się da. Dzięki niech sama znajomość loginu i hasła to za mało, do zalogowania się należy wtedy wprowadzić dodatkową informację – na przykład ciąg cyfr wysłany nam SMS-em. Większość popularnych usługodawców, takich jak Facebook, Google czy Microsoft, taką usługę oferuje.
